Atacatorii cibernetici continuă să exploateze vulnerabilități critice din sistemele Microsoft Windows, iar cea mai recentă campanie scoasă la iveală demonstrează o adaptare constantă a grupărilor de tip ransomware. Potrivit unui raport comun Kaspersky și BI.ZONE, o breșă de securitate deja remediată în aprilie 2025 a fost folosită pentru a instala malware-ul PipeMagic, parte din atacurile ransomware RansomExx. Descoperirea subliniază faptul că, deși Microsoft lansează periodic patch-uri, grupările criminale găsesc metode de a exploata sisteme neactualizate sau insuficient protejate.
PipeMagic nu este o amenințare nouă, fiind documentat pentru prima dată în 2022, însă revenirea sa sub formă îmbunătățită arată că atacatorii continuă să investească în dezvoltarea acestui cadru malware. Țintele identificate recent se află în Arabia Saudită și Brazilia, însă experții avertizează că pericolul se extinde și în alte regiuni, inclusiv Europa și Statele Unite.
Cum a fost exploatată vulnerabilitatea Microsoft
Campania recentă a exploatat vulnerabilitatea CVE-2025-29824, o problemă de escaladare a privilegiilor din Windows Common Log File System (CLFS). Deși Microsoft a publicat un patch în aprilie 2025, atacatorii din gruparea Storm-2460 au reușit să atace organizații care nu și-au actualizat la timp sistemele.
PipeMagic este un malware modular care se bazează pe tehnici complexe pentru a trece neobservat. Un element distinctiv este folosirea unor canale de comunicare prin „named pipes” – de unde și numele – pentru transmiterea de date criptate între procese. În plus, loader-ul descoperit de cercetători folosește fișiere mascate în componente legitime, precum un presupus fișier de ajutor Microsoft („metafile.mshi”) sau o bibliotecă DLL care se prezintă ca un update Google Chrome („googleupdate.dll”).
Metodele de infiltrare nu s-au limitat doar la exploatarea directă a vulnerabilității. În trecut, atacatorii au distribuit variante ale loader-ului PipeMagic sub forma unei aplicații false ChatGPT, încercând să păcălească utilizatorii să instaleze singuri malware-ul. Această tehnică de inginerie socială rămâne una dintre cele mai eficiente modalități prin care atacatorii își ating scopul.
Ce poate face pipemagic pe un sistem compromis
Odată instalat, malware-ul PipeMagic acționează ca un backdoor complet funcțional, oferind atacatorilor acces de la distanță și posibilitatea de a executa comenzi pe dispozitivul compromis. Printre modulele principale descoperite se numără:
- un modul de comunicare asincronă care gestionează citirea și scrierea fișierelor sau terminarea proceselor,
- un loader care injectează și rulează payload-uri suplimentare direct în memorie,
- un injector pentru executabile C#,
- un modul de rețea dedicat comunicării cu serverele de comandă și control (C2).
Particularitatea periculoasă a acestui malware este stocarea payload-urilor în memorie, folosind structuri de tip „doubly linked list”, fără a lăsa urme pe disc. Această abordare complică enorm munca soluțiilor de securitate tradiționale, care caută de obicei fișiere suspecte în sistem.
De asemenea, în atacurile din 2025, cercetătorii au observat utilizarea uneltelor de tip ProcDump (modificate și redenumite ca „dllhost.exe”) pentru extragerea datelor sensibile din procesele de sistem, în special LSASS, ceea ce permite furtul de credențiale.
Evoluția și persistența amenințării
Microsoft a descris PipeMagic ca pe un framework flexibil și extensibil, capabil să ruleze dinamic coduri rău intenționate și să mențină o comunicare robustă cu serverele de comandă. Această modularitate îl face dificil de detectat și analizat, oferind atacatorilor o paletă largă de opțiuni pentru a-și adapta atacurile.
Faptul că PipeMagic este folosit recurent din 2022 până în prezent, în diferite regiuni și industrii – de la IT și financiar până la imobiliare – arată că gruparea Storm-2460 urmărește să maximizeze profitul și să testeze constant metode noi de atac. Versiunile din 2025 aduc îmbunătățiri față de cele din 2024, în special în ceea ce privește persistența în rețele interne și capacitatea de mișcare laterală.
Concluzia trasă de experți este clară: dacă nu aplici actualizările la timp și nu implementezi soluții de monitorizare avansată, riști ca sistemele tale să devină ținte sigure pentru astfel de campanii. PipeMagic este doar un exemplu al modului în care atacatorii cibernetici se reinventează constant, iar protecția trebuie să țină pasul cu ritmul lor.